基于虚拟化的安全性 (VBS) enclave

基于虚拟化的安全性 (VBS) Enclave 是主机应用程序的地址空间内基于软件的受信任执行环境。 VBS Enclave 利用基础 VBS 技术在安全的内存分区中隔离应用程序的敏感部分。 VBS Enclave 可以使敏感工作负载与主机应用程序和系统的其余部分隔离。

通过提前规划并隔离工作负载的敏感部分，你可以在 VBS Enclave 中隔离它，如下图所示：

设备要求

运行 VBS Enclave 需要以下各项：

• 必须启用 VBS/HVCI。 默认情况下，应在 Windows 11 或更高版本上启用此功能。 有关详细信息，请参阅启用基于虚拟化的代码完整性保护。
• Windows 11 或更高版本或者 Windows Server 2019 或更高版本。

开发必备组件

除了设备要求之外，开发 VBS Enclave 还需要以下各项：

• Visual Studio 2022 版本 17.9 或更高版本 - 需要 Microsoft Visual C++ 编译器 (MSVC)。 安装 Visual Studio 可以简化此操作。
• Windows 软件开发工具包 (SDK) 版本 10.0.22621.3233 或更高版本，提供 veiid.exe（VBS Enclave 导入 ID 绑定实用工具）和 signtool.exe。
• 受信任签名帐户。

其他资源

• VBS Enclaves 开发指南
• VBS enclave 中提供的 API
• 使用 VBS Enclave 保护敏感的工作负载
• 安全 Enclave（受信任的执行）概述
• 具有安全 Enclave 的 Always Encrypted 文档
• 基于虚拟化的安全性 (VBS) | Windows 硬件开发人员
• 新的 Windows 11 功能增强了安全性，以解决不断变化的网络威胁形势